php代码审计一些笔记
之前学习了seay法师的代码审计与及80sec的高级审计,整理了一些笔记在印象里面,也发到这里作为记录
1,漏洞挖掘与防范(基础篇)
sql注入漏洞
挖掘经验:注意点:登录页面,获取HTTP头,(user-agent/client-ip/x-forwarded-for,订单处理等。
注入类型:
编码注入:
1,宽字节注入;
关注点:set names 'gbk',character_set_client=gbk,mysql_set_charset('gbk')
2,二次urldecode注入;
关注点:urldecode或者rawurldecode
XSS漏洞
挖掘经验:注意点:print、print_r、echo、printf、die、var_dump、var_export
CSRF漏洞
挖掘经验:注意点:黑盒抓包看token与referer,白盒测试核心文件是否有验证token和referer,在看功能点代码有没有验证。
2,漏洞挖掘与防范(进阶篇)
文件操作漏洞
文件包含漏洞:
LFI:挖掘经验:关注点:模块加载,模板加载,cache调用等地方。函数:include、include_once、require、require_once
RFI:挖掘经验:关注点:allow_url_include=on有效。
常见阶段手段:
1,利用%00截断(php 5.3后修复)
2,利用多个.和/来截断(php 5.3后修复)(window下240个连接点可截断,linux可2038个/.组合可截断)
3,利用问号截断。仅限于远程文件包含。
文件下载漏洞:
挖掘经验:关注点:文件下载与读取显示文件的地方。函数:file_get_contents()、highlight_file()、fopen()、readfile()、fread()、fgetss()、fgets()、parse_ini_file()、show_source()、file()
文件上传漏洞:
挖掘经验:关注点:move_uploaded_file()函数。分析上传代码采用哪种方式?如果是白名单+重命名+高版本php没戏,如果是黑名单的话,可以找扩展名不全绕过,或者绕过验证扩展名。正则
文件删除漏洞:
挖掘经验:关注点:查找相应的功能点。函数:unlink
代码执行漏洞:
挖掘经验:关注点:eval()、assert()、preg_replace()、call_user_func()、call_user_func_array()、array_map()、usort()、uasort()、uksort()、array_filter()、array_reduce()、array_diff_uassoc()、array_diff_ukey()、array_udiff()、array_udiff_assoc()、array_udiff_uassoc()、array_intersect_assoc()、array_intersect_uassoc()、array_uintersect()、array_uintersect_assoc()、array_uintersect_uassoc()、array_walk()、array_walk_recursive()、xml_set_character_data_handler()、xml_set_default_handler()、xml_set_element_handler() 等。preg_replace存在e修饰符需要关注。动态函数的执行,理解代码为什么这么写。
命令执行漏洞:
挖掘经验:关注点:函数:system()、exec()、shell_exec()、passthru()、pcntl_exec()、popen()、proc_open()
一些特性:escapeshellcmd()过滤的字符为'&',';','`','|','*','?','~','^','<','>','(',')','[',']','{','}','$','\','\x0A','\xFF','%','和"在不成对的时候被转义。
escapeshellarg()过滤参数,限制在一堆双引号里面,会把双引号替换为空格。
3,漏洞挖掘与防范(深入篇)
变量覆盖漏洞:
漏洞挖掘经验:关注点:extract()、parse_str()、import_request_variables()【php 5.4之前】,$$
逻辑处理漏洞:
漏洞挖掘经验:关注点:支付,密码找回,程序安装。通读功能点源码,程序是否可重复安装,修改密码处是否可以越权,找回密码验证码是否可暴力破解与及修改其他用户密码,cookie是否可预测和cookie验证是否可绕过等。
一些存在漏洞的判断函数:
1,in_array()函数,【自动类型转换】
2,is_numeric()函数,可用hex绕过,mysql可用hex编码代替字符串明文。
3,双等于和三等于,弱类型自动转换问题。
常见支付漏洞:
1,客户端修改单价,总价,数量。小于0,大整数溢出等?
2,时间竞争问题,多线程发包。
会话认证漏洞:
挖掘经验:关注点:程序登录功能代码,控制session值和直接绕过密码验证的漏洞。验证cookie的代码,如何判断这个值,来验证是否登录。cookie不超过4096字节。
代码审计的一些小技巧
1,不受保护的$_SERVER变量(user_agent,referer,client-ip/x-forward-for)和$_FILES
2,php自带的编码函数问题,iconv,mb_conver_encoding。编码注入,utf-8转gbk问题,chr(128)到chr(255)之间都可以截断字符。(php5以上已被修复)
3,利用字符处理函数报错信息获取绝对路径。如trim接受一个数组,程序就会报错。类似的函数有很多。
4,不严谨的正则表达式。1,没有使用^和$限定匹配开始位置;2,特殊字符未转义。
5,Windows FindFirstFile利用,使用'<'和'>'代表任意字符,如果文件名过长,则需要更多的<字符。如123456.txt为'1<<.txt'
6,可变变量${@phpinfo()},${ phpinfo()},${/**/phpinfo()},第一个字符可替换为tab字符,回车换行符,加号,减号,感叹号!
1,安全是一个整体,应该通读全文,掌握整体。而不是一上来就找危险函数,回溯关键词。"一切输入都是有害的" 应该说"一切进入函数的变量都是有害的。"
2,安全应该要注重特殊环境,如php的版本,系统环境(win/linux),web服务器(iis/apache)等。
3,扩展我们的字典。
3.1 变量本身的key 很多时候我们往往会忽略掉key
3.2 变量覆盖(1,循环$$覆盖,parse_str,mb_parse_str,import_request_variables,Globals)
3.3 没有魔术引号关注的地方(1,$_SERVER变量;2,getenv();3,HTTP_RAW_POST_DATA和php://input;4,数据库操作 in()/order by/limit/group by)
3.4 变量的编码和解码(关注编码解码函数:urldecode,base64_decode,rawurldecode等)
3.5 魔术引号在php版本为4和php<5.2.1的时候,不处理数组第一维变量的key。
3.6 rand和mt_rand的区别,mt_srand种子可以被破解问题(php 4.2.0已被修复)
3.7 数据库存储长度截断问题
3.8 文件操作里的特殊字符
4,如何进一步寻找新的字典
4.1 分析和学习别人的漏洞和Exp,总结出漏洞类型与及字典。
4.2 学习php手册和官方文档,挖掘出新的有危害的函数。
4.3 fuzz php的函数,找到新的有问题的函数。
4.4 分析php源代码
